1

Jaff, ese ransomware que se mueve en su correo

Aunque WannaCry ha opacado su acción, el ransomware Jaff sigue circulando a través del spam, con una demanda de alrededor de US$4.900.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Mayo ha sido – sin duda – el mes del ransomware, marcado históricamente por el ataque global de WannaCry que aún no ha podido ser detenido y que, por afectar en principio a grandes empresas e instituciones gubernamentales deja en claro la vulnerabilidad del mundo.

Sin embargo, en paralelo, las firmas consultoras de seguridad también batallan (con aún menos éxito) en contra de otro ransomware que usa el correo como puerta para crear su brecha.

Su nombre es Jaff y es el miembro más joven de la familias de males que han creado los atacantes detrás de las exitosas campañas de ransomware Locky y Bart.

Según los investigadores de Malwarebyte, este código malicioso (al igual que sus “hermanos mayores”) se distribuye a través de mensajes de spam maliciosos enviados por la red de bots Necurs, cifra los archivos y demanda de DOS (02) bitcoins, es decir, alrededor de US$ 4.900 por su liberación.

Esta cantidad es significativamente mayor (el doble) de lo que la mayoría de los programas de ransomware piden habitualmente. Esto habla de confianza del grupo de hackers de su efectividad de infección.

Desde su email

Necurs apareció por primera vez en 2012 y es una de las botnets más grandes y de mayor duración: un análisis realizado por IBM en abril señala que cuenta con cerca de 6 millones de computadores infectados y es capaz de enviar lotes de millones de correos electrónicos a la vez.

Los emails observados hasta ahora intentan imitar los correos electrónicos automatizados enviados por las impresoras:

  • La línea de asunto es simplemente una de las palabras Copiar, Documento, Escanear, Archivo o PDF, seguido de un número aleatorio.
  • El archivo adjunto es un archivo PDF llamado nm.pdf que tiene un documento de Word incrustado en él.
  • Este segundo documento contiene macros maliciosas adjuntas y contiene instrucciones para que los usuarios puedan ejecutar el código.
  • Si se permite que las macros se ejecuten, descargarán e instalarán el ransomware Jaff que, inmediatamente, comenzará a cifrar los archivos que coincidan con una larga lista de extensiones de archivos de destino.
  • Después de la encriptación, los archivos afectados obtendrán una extensión .jaff anexada a ellos.

Como si fuera phishing

El ransomware Jaff también crea dos archivos con instrucciones para realizar un pago bitcoin con el fin de obtener un programa decryptor.

El portal de pago está alojado en la red Tor y es visualmente idéntico al portal utilizado por el ransomware Bart, lo que confirma la relación entre estas dos amenazas.

Aunque hay algunas similitudes con Locky y Bart, el ransomware Jaff utiliza una base de código diferente, por lo que es un programa aparte, según los investigadores de Malwarebytes.

En todo caso, toda esta familia aprovecha para el ransomware la misma falta de precaución que le ha sido tan útil al phishing. Los usuarios deben siempre desconfiar de los documentos no solicitados que les envían por correo electrónico y nunca deben permitir la ejecución de contenido activo dentro de documentos a menos que puedan verificar su fuente.

La mejor protección contra ransomware es tener una buena rutina de copia de seguridad, haciendo copias a un dispositivo de almacenamiento externo que no esté siempre conectado a su computadora.